miércoles, 15 de febrero de 2012

Vuelven las Falsas fotomultas con troyanos.

En el día de hoy se distribuyen falsos correos con intención de captar incautos con el
truco de falsas fotomultas, con sender info@multasdetransito.gov.ar”


Detalle completo en Segu-Info (ver)




Se muestran tres enlaces con distintas infracciones las cuales linkean un ejecutable desde


http://www.les-maisons-de-katy-et-jacques.com/wwwlmkj/javascript/Informe_Deuda_PDF.exe


Analizando en Virus Total vemos que tiene un indice de detección bajo.




https://www.virustotal.com/file/20a9f7a2b72881b4ac5c98ba63a88ffc6511357986a751bc0c60e1ec3c2cfdb6/analysis/


El ejecutable esta comprimido con UPX








Lo descomprimimos para analizarlo con mas detalle.






Descompilando y revisando los strings se puede observar que este ejecutable se trata
 de un Downloader que descarga otro ejecutable desde las siguientes Urls.




http://www.spaxalm.de/impressum/logitech.exe
http://www.senzabarriere.info/photo_gallery/logitech.exe
http://www.bambous-pc.com/animages/logitech.exe








Bueno bueno.... subimos el nuevo ejecutable (logitech.exe) a virus total y vemos
que también tiene una tasa de detección pequeña.




https://www.virustotal.com/file/d52476ca3b460dd6d15c1dd68442de1b6fc97223986c94b99225494de730a15d/analysis/



También compactado con UPX







Lo cargamos en el PE-Explorer y podemos observar los formularios que se interponen
simulando ser la web del banco.


El troyano, esta constantemente analizando las urls que son cargadas en el navegador, si corresponde con las que tiene identificadas para el ataque, el navegador es rápidamente minimizado y un formulario del troyano es visualizado haciéndose pasar por la Url original.


Aquí algunos de los formularios desplegados por el troyano.


















Bancos Argentinos Afectados:
Patagonia
Standard Bank
Santander Rio
Macro
Itau


Webs afectada:
Hotmail.






Se conecta con dos webs donde deja los datos robados.


http://www.cXXXXXcom/contenidos/prod_cult/escuelas/ct/media/h.php
(no funciona)


http://www.xxxxxg.com/2009/h.php

En este sitio hay dos archivos, uno de usuario/password de hotmail y el otro es un listado de IPs ( por esa razón no muestro la Url real.)



En el listado contabilice 518 usuarios de hotmail robados...








Eso es todo por hoy @bernal3r 2012


PD: Espero que no haya tanta gente laboriosa que cargue toda la tarjeta de coordenadas... si si... lo se... los hay... y muchos..... :S

No hay comentarios:

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...